Androidgebruikers die bepaalde Oeigoerse en Turkestaanse websites bezochten zijn het doelwit van een aanval met een Chrome-exploit geworden, zo stelt securitybedrijf Volexity. Het bedrijf vond meerdere sites, waaronder nieuws- en mediasites, die door aanvallers van kwaadaardige code waren voorzien.
De code op deze websites laadde een exploit voor Google Chrome die een ARM-bestand op het Androidtoestel uitvoerde. Dit bestand verzamelde een grote hoeveelheid gegevens, waaronder telefoonnummer, gebruikersnaam, mac-adres, ip-adres, IMEI en andere apparaatgegevens. De kwaadaardige code zou niet in staat zijn om permanent op het toestel actief te blijven en kon geen verdere commando's accepteren.
Volgens de onderzoekers zochtem de aanvallers mogelijk naar interessante apparaten om in de toekomst aan te vallen of gebruikten ze de data om informatie die via fysieke toesteltracking was verzameld te verifiëren. De gebruikte exploit heeft overeenkomsten met een exploit die in augustus 2017 voor een lek in Chrome 59 verscheen, maar of het om dezelfde exploit gaat is nog onduidelijk. Daarnaast stuurden de gecompromitteerde websites bezoekers door naar een app die toegang tot het Gmail-account vroeg.
Vorige week werd bekend dat aanvallers meerdere iOS-kwetsbaarheden hadden gebruikt om bezoekers van Oeigoerse websites met malware te infecteren. Deze aanvallers zouden ook kwetsbaarheden in Android en Windows hebben gebruikt, zo lieten bronnen aan zakenblad Forbes weten. Verdere informatie werd echter niet gegeven.
Volexity stelt dat de waargenomen aanvallen tegen Androidgebruikers eenvoudig zouden kunnen worden aangepast voor iOS- en Windowsgebruikers. Daarnaast ontdekte het bedrijf, nadat de aanvallen tegen iPhone-gebruikers door Google openbaar waren gemaakt, dat de dns-namen die de aanvallers achter de Androidaanvallen gebruikten niet meer reageerden. Verder werd er eind vorig jaar op één van de gecompromitteerde sites een mogelijke verwijzing naar iPhone-gebruikers ontdekt die door de aanvallers was achtergelaten.
"Hoewel Oeigoeren in China al te maken hebben met allerlei fysieke en elektronische surveillance, kan worden aangenomen dat ze het doelwit van digitale surveillance zijn. Aangezien de sites die de aanvallers compromitteerden in China zijn geblokkeerd, is duidelijk te zien dat de diaspora van Oeigoeren wereldwijd ook doelwit van deze operaties was", aldus het securitybedrijf.
Deze posting is gelocked. Reageren is niet meer mogelijk.